Apigee がパブリック クラウド内の Edge 組織にアクセスすることを完全に防ぐことは可能ですか?
Apigee は、常に、Edge for Public Cloud への「スーパー ユーザー」アクセス権を保持しています。これは、Edge for Private Cloud(オンプレミス)では「sysadmin ロール」と呼ばれ、同じ目的に使用されています。
Apigee がすべてのお客様のパブリック クラウドを構築して管理しているうえ、基礎となるインフラストラクチャが Google Cloud Platform(GCP)と Amazon Web Services(AWS)の両方に存在するため、Apigee は、新しい組織の作成、インフラストラクチャの稼働 / 停止、お客様の Edge へのアクセス権の回復などの操作を制御する必要があります。
そのため、管理者が自社のデータセンターに設置された自社のサーバー内で実行されているすべてのものにアクセスできるのと同じように、理論上、Apigee はパブリック クラウド内のすべての組織にアクセスできます。
ただし、Apigee は、組織の一部でアクセスとデータ公開の量を制限できる次のツールを提供しています。
- 組織内の API 呼び出しをトレースできる Apigee サポートの機能を無効にできます。Apigee サポートのトレースへのアクセスを無効にすると、Apigee はサポート ユーザーを組織に追加できなくなります。Apigee は緊急時にこの設定をオーバーライドできますが、Apigee によって使用されるサポートツールと運用ツールはすべてこの設定を尊重します。
- Edge は、Edge が処理する際に、API 呼び出しデータのデータ マスキングもサポートしています。データ マスキングを有効にすると、機密データが Edge に表示されなくなります。
- Apigee は、管理ログも提供しているため、Apigee ユーザーが組織に追加されたかどうかや組織にアクセスしたかどうかとそれらのタイミングを確認できます。
Apigee から Edge for Public Cloud 組織へのアクセスを完全にブロックすることはできません。Apigee を完全にブロックすると、プラットフォームを実行できなくなります。ただし、前述のツールを使用すれば、アクセスを制限したり、データ公開を制限したり、Apigee がいつ組織にアクセスしたかを確認したりできます。